KUO YANG CONSTRUCTION

風險管理

風險管理運作情形

本公司對於所有對營運及獲利可能造成影響的各種潛在風險,例如環境變動風險、成本風險、產品風險等,每年定期由稽核召開跨部門風險控制專案會議,各部門就其職掌完成風險評估及辨識,以減低對公司營運之衝擊。

資訊安全政策

本公司訂有「電腦資訊及資訊安全管理辦法」,依據公司內部實際管理需求制定資訊安全政策。主要之資訊安全管理分為五類:網路安全、檔案安全、防毒、防駭及不法行為防制。
員工均應依照公司所頒布的相關資訊保護辦法做好自我管理,並具備資安意識。除了資訊系統所提供服務之資訊安全控管措施,更著重保護重要個人及交易資料等資訊之機密性、完整性及可用性。同時強化資訊安全管理,確保資料、系統、設備及網路等軟硬體資訊安全,部署資訊安全防護技術,落實推動資訊安全管理作業及觀念,以避免因資訊或法律所造成的損失。

    管理架構
    本公司由管理處負責訂定「電腦資訊及資訊安全管理辦法」,由資訊人員依其專業負責軟硬體控管、重大資料保存、設備維護。
    稽核室為查核單位,依據本公司內部控制管理程序及電腦資訊及資訊安全管理辦法,定期檢核資訊安全,以降低內部資安風險。

    具體管理方案
    為達成此政策,制定相關資訊安全規範,以確認資訊安全管理運作之有效性。
    •資訊單位需建立相關資訊資產清單,並明定擁有者,若是屬於個人電腦,一律由資訊單位提供,並於交機前安裝所需應用軟體及安全防護系統。
    •相關人員錄用時應簽署保密切結文件,使用電腦設備前需申請帳號,密碼原則為8碼以上之英文數字大小寫+特殊符號四選三,輸入3次錯誤予以鎖定一小時。若離職時應歸還其資訊資產、帳號隨之停用。
    •同仁個人持有之帳號、密碼與權限應善盡保管與使用責任、管理人員應定期清查覆核,重要系統運作資料應定期備份並執行回復測試。
    •公司同仁均須參與資訊安全教育訓練並以提昇資訊安全防護之認知觀念。
    •非經許可禁止非相關人員進入機房。
    •嚴禁同仁私自架設網路設備串接外部網路與公司內部網路,內外部網路均設置防火牆、及必要之安全設施保護之,重要設備應建置適當之備援或監控機制,維持其可用性。
    •網路依網路特性予以隔離,有線區分樓層不同網段,無線以公司員工、來賓及設備隔離不同網段,所存取資源各有差異。
    •同仁之個人電腦應安裝防毒軟體且定期確認病毒碼之更新,並禁止使用未經授權軟體。
    •系統開發應於初始階段考量安控機制之建置、委外開發部分應強化控管及契約資訊安全之要求,評估系統的控管要求可採取必要之控管。
    •同仁遇有資訊安全事件,應立即通報資訊單位,避免事件擴大,並配合權責部門共同解決。
    •同仁日常作業應落實確認覆核機制,維持資料準確性,主管人員應督導資訊安全遵行制度落實情況,強化同仁資訊安全認知及法令觀念。
    •本公司定期檢視資訊安全政策,並不定時測試員工資訊安全反應。